Oracle Security Alert for CVE-2010-0073


[勧告]
このセキュリティアラートは、セキュリティ問題 CVE-2010-0073、Oracle 
WebLogic Serverのノードマネージャの脆弱性について説明します。この脆弱性
は、認証なしにリモートから悪用される可能性があります。つまり、ユーザ名や
パスワードの入力を必要とせずに、ネットワークを通じて悪用される可能性があ
ります。知識および悪意のあるリモートユーザーがこの脆弱性を悪用することに
より、対象システムの可用性、完全性、機密性が影響を受ける可能性があります。



[影響を受けるサポート対象製品]
Oracle WebLogic Server 11gR1 releases (10.3.1 - 10.3.2)
Oracle WebLogic Server 10gR3 release (10.3.0)
Oracle WebLogic Server 10.0 (GA-MP2)
Oracle WebLogic Server 9.2 (GA-MP3)
Oracle WebLogic Server 9.1 GA
Oracle WebLogic Server 9.0 GA
Oracle WebLogic Server 8.1 (GA-SP6)
Oracle WebLogic Server 7.0 (GA-SP7)


[パッチ情報]
この脆弱性に対する保護のためのパッチと関連情報は、下記の文書を参照してください。
https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1064732.1
 * 上記文書の参照には、My Oracle Support へのログインが必要です。
 * 上記文書 ( Note:1064732.1 ) は Note:1058764.1 の日本語版です。
   日本語翻訳は Note:1064732.1 の添付ファイルを参照してください。

Oracle は、本脆弱性に対する修正をお客様ができる限り早く適用されることを
強く推奨します。

また、Oracle は、いかなるパッチや回避策を適用される際にも、パッチや回避策
を実施することによって元のファイルが削除されてしまう前に、バックアップを
取得し、また総合的にシステムの安定性についてテストを実施されることを強く
推奨します。

さらに、Oracle Critical Patch Update January 2010 および以前の Critical 
Patch Update を適用されることを強く推奨します。Oracle WebLogic Server の 
Critical Patch Update はサブコンポーネントレベルの累積形式で提供されてい
ます。（例：WebLogic Server Console、Web Applications、Node Manager はサ
ブコンポーネントです。）Oracle Critical Patch Update January 2010 のパッ
チは、Oracle Critical Patch Update July 2009 以降にリリースされた全ての
セキュリティ修正を含みます。Oracle Critical Patch Update January 2010 は
（特に記載がない限り）Oracle Critical Patch Update July 2009 より前の全て
のセキュリティ勧告は含みません。このため、WebLogic Server のお客様は、適
用すべき以前のセキュリティ修正を確認するために、以前のセキュリティアドバ
イザリを参照してください。


[リスク・マトリクス]
Oracle Security Alert for CVE-2010-0073
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-0073-099291.html
の Risk Matrix の項を参照してください。


[軽減策]
ノードマネージャのポートへのアクセスをファイアウォールや他のネットワーク
制御などで制限することにより、インターネット上の匿名ユーザーによる脆弱性
の悪用を防ぎます。加えて、このポートへのアクセスを信頼できるサブネット、
ユーザーのみに限定するようにアクセスポリシーを見直すことを検討してください。


[参照情報]
 - セキュリティアラート
     http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html

 - Oracle Critical Patch Updates and Security Alerts - Frequently Asked Questions  [ CPU FAQ ]
     http://www.oracle.com/technetwork/topics/security/cpufaq-098434.html

 - Risk Matrix definitions  [ Risk Matrix Definitions ]
     http://www.oracle.com/technetwork/topics/security/advisorymatrixglossary-101807.html

     日本語翻訳は KROWN:122163 にて提供
     http://support.oracle.co.jp/krown/oisc_showDoc.do?id=122163

 - Use of Common Vulnerability Scoring System (CVSS) by Oracle  [ Oracle CVSS Scoring ]
     http://www.oracle.com/technetwork/topics/security/cvssscoringsystem-091884.html

 - List of public vulnerabilities fixed in Critical Patch Updates and Security Alerts  
   [ Oracle Technology Network ]
     http://www.oracle.com/technetwork/topics/security/public-vuln-to-advisory-mapping-093627.html

 - Database, FMW, Em Grid Control, and OCS Software Error Correction Support Policy 
   [ My Oracle Support Note 209768.1 ]
     http://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=209768.1

     日本語翻訳は KROWN:54775、KROWN:127321 にて提供
     http://support.oracle.co.jp/krown/oisc_showDoc.do?id=54775
     http://support.oracle.co.jp/krown/oisc_showDoc.do?id=127321

 - Patch Availability for Oracle WebLogic Server for CVE-2010-0073  [ CVE-2010-0073 ]
     https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1058764.1

     日本語翻訳は Note:1064732.1 にて提供
     https://support.oracle.com/CSP/main/article?cmd=show&type=NOT&id=1064732.1


[更新履歴]
2010/02/04 新規公開


本文書利用上のご注意
==================
本文書は英語で提供されている Oracle Security Alert for CVE-2010-0073
http://www.oracle.com/technetwork/topics/security/alert-cve-2010-0073-099291.html
(最終更新日: 2010年2月4日) を翻訳したものです。
ご利用に際しては、英語の原文を併せてご参照頂くことをお勧めいたします。


[更新履歴]
(本KROWNの更新履歴)
2011/02/24 Oracle Technology Network内のURL変更に伴いリンク修正
2010/02/22 [パッチ情報]のリンク先を変更、参照情報にNote:1064732.1を追加
2010/02/18 本文書を公開